- Nos expertises
  Cloud & CloudOps
  
  Comprendre le Cloud
  
  Identifier les opportunités et définir sa stratégie
  
  Sécuriser et réussir sa migration ou son hybridation
  
  Sécuriser vos environnements Cloud
  
  Assurer une bonne gouvernance
  
  Découvrir l’expertise
  Cloud Native & DevOps
  
  Adopter une culture DevOps
  
  Penser et mettre en place une infrastructure CaaS
  
  Appréhender les outils CNCF
  
  Sécuriser vos environnements conteneurisés
  
  Découvrir l’expertise
  Digital Workplace
  
  Comprendre les nouveaux usages et adapter le SI
  
  Améliorer l’expérience utilisateur et apporter de l’agilité
  
  Gérer de manière sécurisée tous vos environnements et terminaux
  
  Adopter la conduite du changement
  
  Découvrir l’expertise
  Infrastructure des datacenters
  
  Maîtriser et sécuriser vos évolutions
  
  Concevoir et mettre en œuvre de vos infrastructures
  
  Fiabiliser vos architectures
  
  Sécuriser tous les services d'infrastructures associés
  
  Passer à l’ère Software-Defined
  
  Découvrir l’expertise
Nos formations
Qui sommes-nous
Nos actualités
Parlons de votre projet

Cloud & CloudOps
- Comprendre le Cloud
- Identifier les opportunités et définir sa stratégie
- Sécuriser et réussir sa migration ou son hybridation
- Sécuriser vos environnements Cloud
- Assurer une bonne gouvernance
Découvrir l’expertise
Cloud Native & DevOps
- Adopter une culture DevOps
- Penser et mettre en place une infrastructure CaaS
- Appréhender les outils CNCF
- Sécuriser vos environnements conteneurisés
Découvrir l’expertise
Digital Workplace
- Comprendre les nouveaux usages et adapter le SI
- Améliorer l’expérience utilisateur et apporter de l’agilité
- Gérer de manière sécurisée tous vos environnements et terminaux
- Adopter la conduite du changement
Découvrir l’expertise
Infrastructure des datacenters
- Maîtriser et sécuriser vos évolutions
- Concevoir et mettre en œuvre de vos infrastructures
- Fiabiliser vos architectures
- Sécuriser tous les services d'infrastructures associés
- Passer à l’ère Software-Defined
Découvrir l’expertise

SECURITE

15 Jan 2025

Les nouvelles recommandations de l’ANSSI

Vous ne l’avez sans doute pas loupé, l’ANSSI a rédigé un guide début octobre nommé « Recommandations relatives à l’administration sécurisée des systèmes d’information reposant sur Microsoft Active Directory« . Il s’agit d’un document de 166 pages très complet à destination de personnes techniques.

Pour y voir plus clair sur ces recommandations, nous avons posé quelques questions à Adrien Huerre, Directeur Technique ILKI France.

Petit rappel mais grande importance sur la définition même de l’Active Directory (AD)

L’Active Directory est un service de gestion des identités et des ressources développées par Microsoft, principalement utilisé dans les environnements Windows. Il agit comme un annuaire centralisé qui stocke des informations sur les objets du réseau, tels que les utilisateurs, les groupes, les ordinateurs, les imprimantes, les serveurs, les ressources partagées, etc. Ces informations sont organisées de manière hiérarchique sous forme d’une structure arborescente, souvent appelée « annuaire LDAP » (Lightweight Directory Access Protocol).

Les principales fonctions de l’Active Directory incluent :

Authentification : Il permet d’authentifier les utilisateurs et les ordinateurs pour leur accorder l’accès aux ressources réseau en vérifiant leurs identités.

Autorisation : Il gère les autorisations d’accès aux ressources en fonction des droits attribués aux utilisateurs et aux groupes.

Gestion des politiques : Il permet de définir des stratégies de sécurité, de groupe, de mot de passe, etc., pour assurer la conformité et la sécurité du réseau.

Gestion centralisée : Il simplifie la gestion des comptes d’utilisateurs, des ordinateurs, des groupes, des imprimantes, des serveurs, etc., en centralisant toutes les informations dans une base de données.

Intégration avec d’autres services : Il peut être utilisé en conjonction avec d’autres services Microsoft tels que DNS (Domain Name System) pour résoudre les noms d’ordinateurs, DHCP (Dynamic Host Configuration Protocol) pour attribuer des adresses IP, et d’autres services.

Réplication : Il assure la réplication des données entre les contrôleurs de domaine, ce qui garantit la disponibilité et la redondance des informations.

L’Active Directory est un composant essentiel des SI des entreprises, car il simplifie la gestion des utilisateurs et des ressources, renforce la sécurité du réseau et facilite l’administration des systèmes informatiques Windows.

Son rôle central en fait pour autant, c’est une cible de choix pour les attaquants pour s’octroyer les droits nécessaires à la propagation de leur attaque.

A qui est destiné ce guide publié par l’ANSSI ?

Adrien Huerre : Dans l’ordre, je dirai : administrateurs systèmes, RSSI et DSI. On y retrouve une bonne liste d’éléments techniques à prendre en compte.

Pour ceux qui seraient moins techniques, vous pouvez vous concentrer uniquement sur le chapitre 2, qui rappelle la méthodologie de cloisonnement logique d’un AD et d’un SI, ou alors uniquement la liste de recommandations présentes en annexes.

D’ailleurs, sans connaissance théorique autour du modèle en trois Tiers de Microsoft la lecture restera compliquée

Que penses-tu de ce guide ?

Adrien Huerre : Avant tout, ce guide reste une des rares sources d’informations aussi complète en français 🙂.

Ce guide est une source très intéressante voire indispensable pour toutes les entreprises/organisations qui souhaitent valider la bonne sécurisation de leur environnement.

L’ANSSI y regroupe donc un total de 89 recommandations, dont certaines déjà bien connues, décomposées en 3 catégories :

Recommandations à l’état de l’art
Recommandations alternatives de premier niveau (niveau moindre que la première catégorie)
Recommandations renforcées (pour les organisations les plus matures)

Ce découpage pourrait laisser penser à une aide de l’ANSSI à la priorisation de mise en œuvre de ces recommandations, mais au final, 80 recommandations sur 89 se retrouvent dans la catégorie « état de l’art ».

Selon toi, quelle est la mesure de sécurité prioritaire pour les DSI ?

Adrien Huerre : Evidemment il est très compliqué de répondre à cette question en l’état, car très dépendant du contexte de chaque entreprise.

Par contre, de manière globale, on peut rappeler les bonnes pratiques génériques (non exhaustives) de sécurisation d’un SI :

Cloisonner l’ensemble des briques de son SI en fonction des usages.
Maintenir au maximum à jour ses composants d’infrastructures et ses systèmes d’exploitation.
Bien gérer les accès aux SI, notamment en assurant un bon cycle de vie des objets de l’AD, ou encore en favorisant l’utilisation du MFA autant que possible.
Bien sécuriser ses données de sauvegardes, qui seront votre dernier rempart en cas de cyberattaque, et ce notamment au travers de la mise en place de sauvegardes immuables.

Un dernier mot sur la sécurisation d’un SI reposant sur l’AD ?

Adrien Huerre : Difficile de choisir sur un sujet aussi vaste ! Peut-être un conseil sur la gestion des accès aux composants d’infrastructure.

De manière tactique : sortir l’ensemble des composants d’infrastructure (iDRAC, vCenter, ESXi, sauvegarde, interfaces d’administration…) du domaine et utiliser des comptes locaux (et un gestionnaire de mot de passe). Cela permettra de limiter l’impact en cas d’obtention d’un compte administrateur par un attaquant.

De manière stratégique : réfléchir à la mise en place d’un domaine dédié (et isolé) à la gestion des composants d’infrastructure. Avoir un domaine séparé permettra d’avoir les avantages de la gestion centralisée, tout en limitant l’impact de la compromission du domaine principal.

L’importance de la sécurisation de l’Active Directory

La sécurité des Active Directory revêt une importance capitale, car une compromission de ces systèmes peut entraîner d’énormes conséquences pour une organisation. Les nouvelles recommandations de l’ANSSI visent à aider les entreprises à renforcer leur posture de sécurité et à mieux se défendre contre les menaces actuelles, de plus en plus sophistiquées.

En suivant ces directives, les organisations peuvent réduire leur exposition aux risques de sécurité, protéger leurs données sensibles et minimiser les perturbations potentielles. Il est plus que nécessaire de prendre en compte ces recommandations et de les mettre en œuvre pour maintenir la sécurité des systèmes informatiques.

En conclusion, les recommandations de l’ANSSI pour renforcer la sécurité des Active Directory sont essentielles pour toute organisation soucieuse de protéger ses données. En suivant ces directives, les entreprises peuvent renforcer leur sécurité et minimiser les risques liés aux menaces informatiques. La sécurité des AD est un élément clé de la cybersécurité, et il est impératif de rester à jour avec les meilleures pratiques recommandées par les autorités compétentes telles que l’ANSSI. Pour autant, la difficulté pour les organisations et d’adapter ces recommandations à leur contexte, et ce notamment pour prioriser leur mise en œuvre. Cela n’est pas toujours aisé !

Voir toutes les actualités